Curated by: Luigi Canali De Rossi
 


La Internet No Tiene Arquitectura De Seguridad: Infraestructura De Clave Pública Y El Camino Para Espacios Online Seguros


¡Maldición, Maldición Maldición!

Pasé gran parte del último verano en programas de radio nacionales tratando de alertar a la gente sobre lo que está pasando con nuestra infraestructura de información. Todo el tiempo, los conductores imploraban "por favor, dígale a nuestros oyentes que pueden hacer hoy para proteger sus computadoras. ¿qué software antivirus y de protección de programas espías, que cortafuegos y otras medidas de seguridad tienen que comprar con su dinero duramente ganado para hacer su mundo seguro nuevamente?"

Todo el tiempo, trataba de ser educado mientras les daba mi respuesta: "Nada que pueda comprar lo protegerá a usted, su familia, y la información e infraestructura de comunicación de la cual usted depende cada vez más. Si tenemos que tener alguna esperanza de seguridad, de plácido goce en nuestro mundo online, debemos empezar a pensar acerca de nuestra infraestructura de información de la misma forma en que pensamos en nuestra infraestructura física"

 

Bueno, ahora lo hechos concretos han empezado a mostrarnos que tan serias se han puesto las cosas.

El 13 de marzo, 2005, en un paper titulado Conozca su Enemigo: Rastreando Botnets, la Honeynet Project & Research Alliance publicó por primera vez (que yo sepa) los resultados de un análisis bastante completo - no un análisis de los gusanos y virus que están por ahí y de lo persistentes que son, sino del tipo de red que están construyendo.

Si, esa basura que su hijo levantó mientras estaba visitando un juego o un sitio de música hace más que lentificar la computadora de su casa. Hace que su computadora forme parte de una red encima de internet, un tipo de intranet criminal. Estas son las conclusiones a las que llegaron los respetados investigadores de The Honeypot Project:

"Nuestra investigación muestra que algunos atacantes están altamente entrenados y organizados, perteneciendo potencialmente a estructuras criminales bien organizadas. Haciendo más eficaz el poder de varios miles de bots, es factible derribar prácticamente cualquier sitio o red instantáneamente. Aún en manos inexpertas, resulta obvio que los botnets son un arma cargada y peligrosa. Dado que los botnets son una poderosa amenaza, necesitamos una variedad de mecanismos para contrarrestarlos" El siguiente párrafo concluye "Actualmente no tenemos conocimiento del uso de botnets para dañar instituciones gubernamentales o militares, pero el tiempo dirá si esto persiste"

Los medios tradicionales finalmente comenzaron a darse cuenta.

En el número de Forbes del día siguiente (14 de Marzo) se publicó un artículo titulado "Nuestro Frankenputer" , con el siguiente texto resaltado "En términos de seguridad el diseño de la PC es un amasijo sorprendente. Los parches juegan un juego inútil de persecución."

Historias acerca del creciente robo de identidades online y fraudes basados en la Web están por todas partes.

Aquellos que han leído mis libros y artículos saben que no puedo dejar ir a ninguno sin invocar una cita del eminente criptógrafo Taher Elgamal el cual es responsable del popular y efectivo protocolo de seguridad SSL. Cuando un periodista de la revista Red Herring le preguntó "¿Cual es el error más grande que la gente está cometiendo con sus arquitecturas de seguridad?" Elgamal respondió: "¡El error más grande es que no hay arquitecturas de seguridad!"

"Cualquier cosa que haga, por favor no esté pensando todo el día "eso no está bien, tiene que haber una forma más directa de ajustar varias computadoras para protegerme yo mismo, mi familia, mi cuenta bancaria, mis registros de salud, mi comunidad, la infraestructura de información vital de mi país." Tampoco piense que el problema se puede resolver poniendo más empeño de parte de los tecnólogos de la información.

No se puede.

Tenemos grandes problemas. Y se harán más grandes. No se resolverán con más empeño o más hardware y adminículos.

Permítanme ilustrar esto con una metáfora no tan exagerada.


Imagíne
que toda su información personal y profesional e infraestructura de comunicación se encuentran en el centro de una pila de materiales de construcción en forma de rosquilla (doughnut). Ambos, además, están situados en un area de descanso al costado de una autopista muy transitada

Usted quiere saber si su información y su comunicación de e-mail estan seguras, por lo tanto le pregunta a un experto en seguridad: "¿Están mis archivos y mis comunicaciones seguras en el centro de esa pila de cosas?"

El examina la pila, se aleja y vuelve con una caja conteniendo más cosas "Usted necesita esto, esto y esto. Primero, esta caja de metal se llama el Sistema de Prevención de Intrusiones. Este segundo ítem, este disco, tiene actualizaciones a su perfil de malware. Y este tercer ítem es una lista de actualizaciones a las reglas que gobiernan la operación de su cortafuego"
El arroja la caja de metal dentro de la pila, conectando sus cables a los de otros aparatos en la pila. Implanta el disco en uno de los dispositivos de la pila, luego encuentra un teclado y cambia la política de su cortafuegos.

"Ya está" dice "¡ahora usted está lo más seguro que se pueda!"

"¿Que tan seguro es eso?" pregunta usted

Pero el ya se fue, dejándole solo una factura ondeando por las ráfagas de viento que dejan los vehículos en su veloz paso por la autopista.

¿Como podemos nosotros como cultura económica mundial haber invertido trillones de dólares en tecnologías de la información y haber terminado con cosas que no proveen seguridad elemental y manejabilidad?

La respuesta hoy es la misma que la de hace veinticinco años.

Cuando las computadoras eran nuevas, no sabíamos que preguntar
Los vendedores tenían carta blanca para definir nuestras expectativas, utilizando interfaces y formatos y estándares para manipular nuestros aparatos de información en su propio beneficio.

No sabíamos que preguntar entonces, pero ahora tenemos que aprender. Cuando un conjunto de clientes - en este caso todos los usuarios de Internet del mundo - no saben lo que pueden tener, ellos entonces una vez más tienen info-baratijas desparramadas frente a ellos, cada una deslumbrante, seductoramente innovadora - pero pocas de ellas trabajando juntas hacia un recurso totalmente en línea seguro y manejable.

Partes crecientes de su vida están asentadas en el medio de una pila de materiales de construcción - buenos materiales - con forma de rosquilla, en un area de descanso al costado de una transitada autopista.

En muchos aspectos, el centro de esa rosquilla es donde usted vive.

Permítame recordar el intercambio con Taher Elgamal, porque perfectamente captura la naturaleza del problema - y porque sugiere la solución:

"¿Cual es el error más grande que la gente está cometiendo con sus arquitecturas de seguridad?"

"¡El error más grande es que no hay arquitecturas de seguridad!"

Bueno , [imprecación] si lo que a usted le está faltando es la arquitectura, ¿no sería sensato buscar a un arquitecto?

Si usted fuera el presidente de un banco y se despierta un buen día para darse cuenta que la puerta de la bóveda de seguridad del banco no tiene una construcción que la rodee, ¿a quien llamaría? ¿a un técnico en puertas de bóvedas de bancos?, Usted llamaría a un arquitecto ¿no es cierto?. Usted diría "¡Por favor, comiencen a diseñar un edificio!. Cuando terminen, le voy a dar los planos a un contratista, y únicamente después que el contratista esté a bordo, ustedes dos empezarán a contactar a los vendedores de placas de piedra y materiales y cerraduras de puerta y sistemas de alarma y puertas de bóvedas."

¿O llamaría primero al tipo de las puertas de bóvedas y esperaría lo mejor?

Ahora, el problema es que, Elgamal es un optimista. Porque no solamente no hay arquitecturas, sino que casi no hay arquitectos

Si le pregunta a un tecnólogo de la información por una arquitectura, escuche cuidadosamente porque tendrá una explicación versada, detallada de cómo ensamblar todos los diferentes materiales de construcción

Es improbable que usted consiga arquitectura

En los círculos de la tecnología de la información "arquitectura" se ha
convertido en algo muy no-arquitectural

Las buena noticia es que a través de una nueva forma de hacer las cosas, de hecho tenemos la habilidad para mejorar de manera significativa nuestra seguridad física y online, de reducir las amenazas a nuestra privacidad y hacer nuestra calidad de vida mucho mejor
La aproximación arquitectural comienza con algo llamado Infraestructura de Clave Pública (ICP )

Este no es un mensaje nuevo, y las soluciones de ICP no son algo nuevo. La ICP está basada en una cosa llamada en criptografía de clave pública. (CCP) Por favor, no deje que la palabra "criptografía" lo acobarde - no necesita saber nada de matemáticas para ponerla en uso.

Pero mientras que la criptografía de clave pública es asombrosamente efectiva y, cuando sus claves son lo suficientemente largas, asegura y autentica información 100 porciento del tiempo en "condiciones de laboratorio", la reputación de ICP es decepcionante.

Aplicar la CCP y tenerla funcionando en el mundo real vía ICP es una tarea que simplemente desafía los esfuerzos de los tecnólogos que intentan dominarla.

Parece imposible tener a la gente apropiada y servidores y clientes y otras cosas desplegadas y actualizadas y manejadas de manera que la IPC pueda proveer realmente al mundo real los beneficios que ya sabemos de que es capaz.

Bueno, ¿a donde vamos desde aquí?

Vamos a comenzar por examinar el párrafo anterior. La CCP "desafía los esfuerzos de los tecnólogos que intentan dominarla"

El problema que la CCP trata de resolver - integrar una herramienta espectacularmente buena en cada parte de nuestra vida que sea tocada por la información y comunicación - es mucho más grande que el mundo de la tecnología. Este incluye autoridad, confianza, gobierno, hábitos de comunicación, hábitos de comercio, arquitectura, construcción y manejo de la propiedad.

Los tecnólogos, en este caso los criptógrafos, han hecho bien su trabajo.

Ellos nos han dado un magnifico material de construcción. Pero ¿depende también de ellos diseñar, construir y manejar la infraestructura en el cual este material se va a utilizar?

¿Pretendemos nosotros que el tipo que convirtió a los árboles en madera decida que tipo de morada necesitamos y que dibuje los planos? ¿ponga el clavo final? ¿realice la instalación eléctrica? ¿haga la mudanza y desempaque nuestras cosas?

Hasta ahora
, eso es exactamente lo que aparentemente hemos esperado de aquellos que fabrican este destacado material de construcción de clave pública.

El resultado es exactamente lo que debemos esperar: pilas de materiales de construcción en vez de edificios.

Realmente
, los escritos de los criptógrafos de la clave pública e ingenieros confiables lamentan la falta de cosas que otros pueden proveer fácilmente.

Por ejemplo, hay una forma de construir la porción de identidad de un bien diseñada CCP de modo que realmente logra el objetivo de largo plazo de poner el control de la información acerca de una persona en las manos de ella misma.

Este será un tremendo avance en la guerra contra los fraudes de identidad y erosión de la privacidad. Pero desde que la solución incluye un mix de tecnología y leyes (ya existen dichas leyes, no hay necesidad de legislar) se tiende a ser pasado por alto de parte de los tecnólogos.

Las profesiones rara vez dan un paso al frente para proclamar los límites de su dominio - los límites de esa parte del mundo sobre la que ellas deberían dominar. Ciertamente nunca he visto un jefe de departamento de tecnología de la información dar un paso al frente para decirle que ella, la CEO, debe tomar la decisión final referida al uso de la tecnología de la información, a pesar de que siempre es así.

A las profesiones les gusta ver crecer a sus miembros en importancia, autoridad, poder, control, e ingresos. Cada profesión piensa que el mundo sería mejor si sus miembros estuvieran en control de todo

Afortunadamente la tendencia de todos los demás para entender lo absurdo que sería esto, evita que suceda.

Necesitamos tener esa pizca de sentido común en mente cuando se trata de tecnología de la información.

Porque como cultura seguimos insistiendo obcecadamente que somos tecnológicamente iletrados y por lo tanto permitimos que los tecnólogos de la información controlen la forma en que la se utiliza la tecnología - mientras que al mismo tiempo hacemos buen uso de tecnologías avanzadas en nuestro diario vivir - es un tema del cual algunos sociólogos deberían ocuparse

Pero no estamos aquí para hablar acerca de un ejercicio académico.

El diseño y despliegue de este precioso trozo de tecnología, esta cosa necesitada desesperadamente llamada criptografía de clave pública - CCP - y su transformación en un infraestructura de clave publica - ICP - de utilidad es muy importante para nosotros para continuar encogiendo nuestro deber bajo el pretexto de una incompetencia imaginaria.

La ICP no puede ser exitosamente desplegada por tecnólogos. Su composición y objetivos van mucho más allá del alcance de la profesión de la tecnología de la información.

¿Quién está entonces cualificado para tomar el liderazgo en el despliegue de "edificios" de clave pública? Si usted está cualificado para decirle a un arquitecto lo que necesita en una casa o edificio de oficinas u otro tipo de construcción , entonces la respuesta es: usted. Si, necesitamos arquitectos cualificados y muchos otros profesionales que hagan esto posible, pero todo comienza con usted.

Cuando un edificio provee lo que sus ocupantes necesitan, un profesional de bienes raíces diría que este provee "Un Sereno Regocijo"

Usted no necesita a un experto en seguridad que le diga si su hogar o edificio de oficina le provee a usted un Sereno Regocijo. Usted necesita comenzar a pedirla a ellos la misma seguridad - ese mismo derecho a, y grado de, Sereno Regocijo - en su entorno online

Nota del autor:
Sientase libre de re-usar y publicar este articulo (con su debido crédito) tal como usted lo considere apropiado.Seguramente se preguntará cual es mi truco, que estaré intentando vender. No tengo libros y reportes para ofrecer, ni voy a mencionar sus títulos o cualquier cosa acerca de ellos aquí porque quiero que se concentre en el tema.

Tengo niños, y quiero que ellos tengan un mundo vital donde crecer. Me temo que si no hacemos algo pronto, ellos se enfrentaran con el crimen y la anarquía a una escala que es imposible de imaginar

En vez de eso , quiero que mis hijos y los de usted y sus hijos crezcan en un mundo donde sea razonable esperar un Sereno Regocijo.

Sinceramente

Wes Kussmaul

Enviado por Robin Good el Viernes 18 de Marzo, 2005

Si te gustó la nota puedes recibir actualizaciones suscribiéndote via RSS o via email.

O compartirla:
 
 
 
 
 


 

 

 

 

Creative Commons License
This work is licensed under a Creative Commons License.

 

2995


Curated by

Publisher MasterNewMedia.org - New media explorer - Communication designer
Web Analytics